Zum Inhalt springen
Avanet

Sophos Firewall - ARP-Problem nach Firewall Umstellung lösen

Sophos Firewall

Beim Umstellen einer Firewall Konfiguration kann es in seltenen Fällen vorkommen, dass einige Alias-IP-Adressen nicht mehr auf ICMP-Anfragen (Ping) reagieren, während andere Alias-Adressen weiterhin pingbar bleiben. Dieses Phänomen tritt besonders häufig auf, wenn sich durch die Umstellung die MAC-Adresse der Firewall ändert.

Eine typische Konfiguration in modernen Netzwerken umfasst mehrere Alias-IP-Adressen auf einem einzelnen WAN-Interface. Diese Alias-Adressen werden häufig verwendet, um verschiedene Dienste von einer einzigen physikalischen Schnittstelle aus zu verwalten. Bei einem Firewall Wechsel, z. B. von einem anderen Hersteller zu einer Sophos Firewall oder auch beim Wechsel eines Hardwaremodells innerhalb des Sophos Ökosystems, ändert sich oft die MAC-Adresse der externen Schnittstelle. Diese Änderung kann zu Problemen in der ARP-Tabelle (Address Resolution Protocol) von benachbarten Routern oder Switches führen, die die Alias-IP-Adressen den alten MAC-Adressen zuordnen und diese nicht automatisch aktualisieren.

Die Technik hinter dem Problem

Das ARP-Protokoll ist verantwortlich dafür, IP-Adressen in MAC-Adressen aufzulösen. Wenn ein Host eine IP-Adresse im Netzwerk kontaktieren möchte, sendet er eine ARP-Anfrage, um die zugehörige MAC-Adresse zu ermitteln. Der ARP-Cache speichert diese Zuordnungen temporär, um die Netzwerklast zu reduzieren und die Auflösung zu beschleunigen. Wenn sich jedoch die MAC-Adresse einer Firewall ändert, während die IP-Adresse gleich bleibt, kann es zu Konflikten kommen, da benachbarte Geräte möglicherweise immer noch versuchen, die IP-Adressen mit der alten MAC-Adresse zu verknüpfen.

In einer solchen Situation ist es möglich, dass einige IP-Adressen weiterhin pingbar sind, während andere nicht reagieren. Dies liegt daran, dass die ARP-Tabelle auf den Nachbargeräten die Zuordnung für bestimmte IP-Adressen korrekt aktualisiert hat, während sie für andere IP-Adressen noch veraltete Informationen enthält.

ARP-Ping zur Aktualisierung der ARP-Tabelle

Um dieses Problem zu beheben, kann man auf der Sophos Firewall einen spezifischen Befehl über SSH ausführen, der es ermöglicht, für jede Alias-IP-Adresse ein manuelles ARP-Ping durchzuführen. Dieser Befehl zwingt die Firewall, eine ARP-Anfrage von der betroffenen Alias-IP-Adresse zu initiieren, wodurch die ARP-Tabelle auf den Nachbargeräten aktualisiert wird.

system diagnostics utilities arp ping source interface

Angenommen, eine der nicht-pingbaren Alias-IP-Adressen ist 212.60.60.121 und sie ist auf dem Interface Port2 konfiguriert. Der Befehl, um die ARP-Tabelle für diese Adresse zu aktualisieren, lautet:

system diagnostics utilities arp ping source 212.60.60.121 interface Port2 212.60.60.120

Dieser Befehl sendet eine ARP-Anfrage von der Alias-IP-Adresse 212.60.60.121 über das Interface Port2 an sich selbst. Dies zwingt alle benachbarten Geräte, ihre ARP-Tabellen mit der korrekten MAC-Adresse für diese IP zu aktualisieren.

Schritt-für-Schritt-Anleitung zur Fehlerbehebung:

  1. Über SSH mit der Sophos Firewall verbinden: Zuerst wird eine SSH-Verbindung zur Firewall hergestellt. Dazu kann man ein Tool wie PuTTY oder die integrierte SSH-Konsole verwenden.
  2. Nicht-pingbare Alias-IP-Adressen identifizieren: Im nächsten Schritt wird überprüft, welche Alias-IP-Adressen auf der WAN-Schnittstelle nicht pingbar sind.
  3. ARP-Ping-Befehl ausführen: Für jede nicht-pingbare Alias-IP-Adresse wird der oben genannte ARP-Ping-Befehl ausgeführt. Dabei ist darauf zu achten, die spezifische Alias-IP-Adresse und das zugehörige Interface korrekt einzusetzen.
  4. Ergebnisse überprüfen: Nachdem der Befehl ausgeführt wurde, wird überprüft, ob die zuvor nicht-pingbaren Alias-IP-Adressen nun auf Ping-Anfragen reagieren.
  5. Netzwerkgeräte neu starten (falls erforderlich): In einigen Fällen kann es hilfreich sein, angrenzende Netzwerkgeräte wie Router oder Switches neu zu starten, um sicherzustellen, dass die ARP-Tabellen vollständig aktualisiert werden.